Contract
<.. image(Document Cover Page. Document Number: 6102/19. Subject Codes: JAI 100 XXXXX 43 CYBER 34 DROIPEN 16 JAIEX 8 ENFOPOL 45 DAPIX 41 EJUSTICE 14 MI 111 TELECOM 50 DATAPROTECT 27 USA 8 RELEX 97. Heading: NOTA DI TRASMISSIONE. Originator: Xxxxx XXXX XXXXXXXXX, Direttore, per conto del Segretario Generale della Commissione europea. Recipient: Xxxxx XXXXXXXX-MIKKELSEN, Segretario Generale del Consiglio dell'Unione europea. Subject: Raccomandazione di DECISIONE DEL CONSIGLIO che autorizza l’avvio di negoziati in vista di un accordo tra l’Unione europea e gli Stati Uniti d’America sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale. Commission Document Number: COM(2019) 70 final. Preceeding Document Number: Not Set. Location: Bruxelles. Date: 5 febbraio 2019. Interinstitutional Files: Not Set. Institutional Framework: Consiglio dell'Unione europea. Language: IT. Distribution Code: PUBLIC. GUID: 4925879164057371469_0) removed ..>
Consiglio
dell'Unione europea
Bruxelles, 5 febbraio 2019 (OR. fr)
6102/19
JAI 100
XXXXX 43
CYBER 34
DROIPEN 16
JAIEX 8
ENFOPOL 45
DAPIX 41
EJUSTICE 14
MI 111
TELECOM 50
DATAPROTECT 27
USA 8
RELEX 97
NOTA DI TRASMISSIONE
Origine: Xxxxx XXXX XXXXXXXXX, Direttore, per conto del Segretario Generale della Commissione europea
Data: 5 febbraio 2019
Destinatario: Xxxxx XXXXXXXX- MIKKELSEN, Segretario Generale del Consiglio dell'Unione europea
n. doc. Comm.: COM(2019) 70 final
Oggetto: Raccomandazione di DECISIONE DEL CONSIGLIO che autorizza l’avvio di negoziati in vista di un accordo tra l’Unione europea e gli Stati Uniti d’America sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale
Si trasmette in allegato, per le delegazioni, il documento COM(2019) 70 final.
All.: COM(2019) 70 final
6102/19 sp
JAI.2 IT
COMMISSIONE EUROPEA
Bruxelles, 5.2.2019
COM(2019) 70 final
Raccomandazione di
DECISIONE DEL CONSIGLIO
che autorizza l’avvio di negoziati in vista di un accordo tra l’Unione europea e gli Stati Uniti d’America sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale
RELAZIONE
1. CONTESTO
L’uso sempre più diffuso, anche a scopi illegali, di social media, posta elettronica, servizi di messaggistica e applicazioni ("app") per comunicare, lavorare, socializzare e ottenere informazioni comporta un aumento dei flussi transfrontalieri di dati. Di conseguenza, un numero crescente di indagini penali si avvale di prove elettroniche che non sono accessibili al pubblico. Dato che internet non conosce frontiere e i servizi possono essere forniti da tutto il mondo, quindi anche da imprese non europee, l’accesso transfrontaliero alle prove elettroniche è divenuto una questione urgente per quasi tutti i tipi di reato. In particolare, i recenti attacchi terroristici hanno sottolineato la necessità, in via prioritaria, di trovare modalità che consentano ai pubblici ministeri e ai giudici degli Stati membri dell’Unione europea di ottenere prove elettroniche in modo più rapido ed efficace.
Attualmente per oltre la metà delle indagini penali è necessario accedere a prove elettroniche transfrontaliere. Le prove elettroniche sono necessarie per circa l'85 % delle indagini penali, e per due terzi di queste indagini vi è la necessità di ottenere tali prove da prestatori di servizi online con sede in un’altra giurisdizione. Il numero di richieste trasmesse ai principali prestatori di servizi online è aumentato dell'84 % tra il 2013 e il 2018. Nell’ambito delle indagini penali, questi tipi di dati sono essenziali per identificare una persona od ottenere informazioni circa le sue attività.
Per prove elettroniche si intendono vari tipi di dati in forma elettronica che sono rilevanti per indagare e perseguire i reati e che spesso sono conservati sui server dei prestatori di servizi online. Le prove elettroniche comprendono i «dati relativi al contenuto» quali la posta elettronica, i messaggi di testo, le fotografie e i video, nonché i «dati non relativi al contenuto», quali i dati relativi agli abbonati o le informazioni riguardanti un account online.
La cooperazione tra autorità giudiziarie è il metodo tradizionale cui viene fatto ricorso per lavorare insieme e far fronte a tutte le forme di criminalità. Il principale strumento di cui si avvalgono oggi gli Stati membri per richiedere l’accesso transfrontaliero alle prove elettroniche della maggior parte degli altri paesi dell’Unione europea è l’ordine europeo di indagine.
Gli Stati membri dell’Unione europea fanno uso di richieste di mutua assistenza giudiziaria con i paesi terzi (e con la Danimarca e l'Irlanda, che hanno scelto di non partecipare all’ordine europeo di indagine). Più autorità sono coinvolte da entrambi i lati. Le relative procedure sono state progettate in un’epoca anteriore ad internet, quando il volume delle richieste era una frazione di quello odierno, e non affrontano gli aspetti legati alla volatilità delle prove elettroniche.
Uno dei principali destinatari delle richieste di mutua assistenza giudiziaria da parte degli Stati membri dell’Unione europea (e di tutto il mondo) per l’accesso alle prove elettroniche sono gli Stati Uniti d'America, dove hanno sede i maggiori prestatori di servizi. Un accordo sulla mutua assistenza giudiziaria tra l’Unione europea e gli Stati Uniti è stato firmato il 25 giugno 2003 ed è entrato in vigore il 1º febbraio 2010. Si tratta di un meccanismo chiave per garantire un’efficace cooperazione transatlantica in materia di giustizia penale e lotta contro la criminalità organizzata e il terrorismo.
Nel 2016 ha avuto luogo un primo riesame congiunto dell’accordo1, a seguito del quale si è giunti alla conclusione che esso costituisce un valore aggiunto alla mutua assistenza
1 Riesame dell’accordo di assistenza giudiziaria UE-USA 2010, 7 aprile 2016, 7403/16.
giudiziaria UE-USA e, in generale, funziona bene. Saranno tuttavia compiuti ulteriori sforzi per migliorare tale cooperazione. Infatti, sebbene la cooperazione giudiziaria tra le autorità pubbliche, tra cui quelle degli Stati Uniti d'America, sia un fattore di cruciale importanza, si tratta di un metodo spesso troppo lento rispetto alla natura volatile delle prove elettroniche (la cui durata media è di 10 mesi) e che può comportare un uso proporzionato di risorse. Inoltre, considerando che la sovranità è un aspetto importante della cooperazione giudiziaria in una determinata inchiesta, sta diventando sempre più comune che l’unico collegamento con l'altro Stato coinvolto sia l’ubicazione dei dati o del prestatore di servizi. In materia di prove elettroniche, il riesame congiunto del 2016 ha incoraggiato gli Stati membri a cooperare direttamente con i prestatori di servizi statunitensi per assicurare ed ottenere prove elettroniche in modo più rapido ed efficace.
La cooperazione diretta con i prestatori di servizi degli Stati Uniti si è sviluppata come una valida alternativa alla cooperazione giudiziaria. Essa è limitata ai dati non relativi al contenuto2 ed è volontaria ai sensi del diritto degli Stati Uniti. In pratica, le autorità pubbliche dello Stato membro dell’Unione europea interessato contattano direttamente un prestatore di servizi negli Stati Uniti d’America e gli sottopongono alcune richieste, ai sensi delle norme nazionali di procedura penale, relative a dati cui il prestatore di servizi ha accesso, ovvero di norma dati riguardanti un utente dei servizi offerti dal prestatore. Ciò riguarda alcuni prestatori di servizi con sede negli Stati Uniti d’America e, in misura più limitata, in Irlanda, che rispondono direttamente alle richieste delle autorità di contrasto degli Stati membri, su base volontaria, nella misura in cui le richieste riguardano dati non relativi al contenuto.
La legislazione statunitense3 consente ai prestatori di servizi stabiliti negli Stati Uniti di cooperare direttamente con le autorità pubbliche europee con riferimento ai dati non relativi al contenuto. Tuttavia, tale cooperazione avviene su base volontaria. Pertanto, i prestatori hanno creato le loro proprie strategie o decidono caso per caso se e in che modo cooperare. Oltre all’aumento della cooperazione diretta con i prestatori di servizi, negli Stati Uniti d’America sentenze recenti e cause giudiziarie, tra cui la causa «Microsoft Ireland»4, hanno cercato di chiarire se le autorità statunitensi hanno il diritto di richiedere la produzione di dati conservati all’estero da un prestatore di servizi la cui sede principale è negli Stati Uniti d’America.
La portata delle richieste di cooperazione diretta su base volontaria è aumentata rapidamente, con più di 124 000 richieste registrate nel 2017. Pur garantendo un accesso più rapido rispetto all’assistenza giudiziaria reciproca, la cooperazione diretta su base volontaria è limitata ai dati non relativi al contenuto. Essa inoltre può essere inaffidabile e non garantire il rispetto di garanzie procedurali adeguate, è possibile solo con un numero limitato di prestatori di servizi che applicano politiche diverse, non è trasparente e non esiste l'obbligo di rendicontazione. La frammentazione che ne consegue può generare incertezza giuridica, sollevare interrogativi sulla legittimità di un procedimento penale, così come preoccupazioni in merito alla tutela dei diritti fondamentali e alle garanzie procedurali per le persone interessate da tali richieste. A
2 I dati relativi al contenuto possono essere ottenuti solo su base volontaria in casi ritenuti di emergenza che comportano pericolo di morte o gravi lesioni alle persone.
3 Sezione 2701(2), Electronic Communications and Privacy Xxx 0000 (ECPA) 41.
4 La causa è stata trattata dalla Corte suprema degli Stati Uniti il 27 febbraio del 2018. La Corte ha archiviato il processo il 17 aprile 2018, dopo essere stata informata dalle parti dell'adozione del CLOUD Act (Clarifying Lawful Overseas Use of Data), consentendo così l'emissione di un nuovo mandato per ottenere le informazioni necessarie da Microsoft.
ciò si aggiunge che è soddisfatta meno della metà di tutte le richieste presentate ai prestatori di servizi5.
Per quanto riguarda eventuali richieste reciproche da parte delle autorità statunitensi ai prestatori di servizi nell’Unione europea, in molti Stati membri il quadro giuridico sulle telecomunicazioni in vigore vieta ai prestatori nazionali di telecomunicazioni di rispondere direttamente alle richieste delle autorità estere, anche per i dati non relativi al contenuto. Inoltre, non esiste un quadro giuridico che consenta una cooperazione diretta in altri settori della comunicazione. Di norma le autorità statunitensi possono ottenere tali dati dai prestatori di servizi dell’UE mediante una richiesta di mutua assistenza giudiziaria reciproca.
2. OBIETTIVI DELLA PROPOSTA
Con l’Agenda europea sulla sicurezza dell’aprile 20156 la Commissione europea si è impegnata a riesaminare gli ostacoli alle indagini penali relative a reati di criminalità informatica, in particolare in materia di accesso transfrontaliero alle prove elettroniche. Il 17 aprile 2018 la Commissione ha proposto al Parlamento europeo e al Consiglio un regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale7 e una direttiva recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell'acquisizione di prove nei procedimenti penali8 (le "proposte riguardanti le prove elettroniche")
Scopo delle due proposte è accelerare, nell'Unione europea, il processo volto ad assicurare ed ottenere prove elettroniche direttamente dai prestatori di servizi stabiliti in un’altra giurisdizione. L'ambito di applicazione delle proposte comprende specifici tipi di prestatori di servizi che offrono servizi all’interno dell’Unione europea. Un prestatore offre servizi nell’Unione europea quando ne consente l'utilizzo ad utenti in uno o più Stati membri e quando ha un legame sostanziale nell’Unione, per esempio se ha una sede in uno Stato membro o offre servizi a un vasto numero di utenti in tale Stato membro. I prestatori senza una presenza nell’Unione europea sono tenuti a nominare un rappresentante legale nei confronti del quale possano essere eseguiti gli ordini di produzione.
Il Consiglio europeo ha sottolineato l’importanza di tale questione a livello sia interno che
esterno. Le conclusioni del Consiglio europeo del 18 ottobre 2018 precisano quanto segue:
«[o]ccorrerebbe trovare soluzioni per garantire un accesso transfrontaliero rapido ed efficiente alle prove elettroniche al fine di combattere efficacemente il terrorismo [...] ed altre forme gravi di criminalità, sia all'interno dell'UE che a livello internazionale entro la fine della legislatura si dovrebbe giungere a un accordo sulle proposte della Commissione riguardanti le prove elettroniche e l'accesso alle informazioni finanziarie, come pure su
5 Commission Impact Assessment accompanying the e-evidence package ("Valutazione d'impatto della Commissione, che accompagna il pacchetto relativo alle prove elettroniche", documento di lavoro disponibile in inglese), 17 aprile 2018, SWD(2018) 118 final.
6 Comunicazione della Commissione al Parlamento europeo e al Consiglio: L'agenda europea sulla sicurezza, 28 aprile 2015, COM(2015) 185 final.
7 Proposta di regolamento del Parlamento europeo e del Consiglio relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale, del 17 aprile 2018, COM(2018) 225 final.
8 Proposta di direttiva del Parlamento europeo e del Consiglio recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove nei procedimenti penali, del 17 aprile 2018, COM(2018) 226 final.
quella intesa a rendere più efficace la lotta al riciclaggio9. La Commissione dovrebbe inoltre presentare con urgenza i mandati negoziali relativi ai negoziati internazionali sulle prove elettroniche».
Le proposte della Commissione riguardanti le prove elettroniche costituiscono la base di un approccio coordinato e coerente dell'Unione europea sia al suo interno che sulla scena internazionale, nel dovuto rispetto delle norme dell’Unione, in particolare in materia di non discriminazione tra i suoi Stati membri e i loro cittadini. Nella valutazione d’impatto relativa alle proposte riguardanti le prove elettroniche, la Commissione ha già osservato che tali proposte potrebbero essere utilmente integrate da accordi bilaterali o multilaterali riguardanti l'accesso transfrontaliero alle prove elettroniche e le relative garanzie; tuttavia la Commissione ha deciso di proporre regole interne dell'UE relative alle modalità e alle garanzie appropriate in materia di accesso transfrontaliero alle prove elettroniche prima di avviare negoziati con terzi.
A livello internazionale è in corso una riflessione nell’ambito dei negoziati su un secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica10. L’accesso transfrontaliero alle prove elettroniche è stato un punto costantemente all'ordine del giorno delle recenti riunioni ministeriali UE-USA in materia di giustizia e affari interni.
Le due raccomandazioni relative all'apertura dei negoziati con gli Stati Uniti d'America e alla partecipazione ai negoziati del secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica saranno adottate a breve in contemporanea dalla Commissione. Anche se progrediranno a ritmi diversi, i due processi affrontano questioni interconnesse e gli impegni assunti nell'ambito di un negoziato possono avere un impatto diretto su altri filoni delle trattative.
Mentre le proposte riguardanti le prove elettroniche affrontano la situazione di determinati tipi di prestatori di servizi che forniscono servizi sul mercato dell’UE, vi è un rischio di obblighi contrastanti con le leggi dei paesi terzi. Al fine di affrontare tali conflitti di legge, in linea con il principio di cortesia internazionale, le proposte riguardanti le prove elettroniche includono disposizioni relative a meccanismi specifici nel caso in cui un prestatore di servizi si trovi in conflitto con gli obblighi derivanti dal diritto di un paese terzo quando sono richieste delle prove. Questi meccanismi comprendono una procedura di riesame al fine di chiarire una situazione del genere. Un accordo UE-USA dovrebbe mirare a evitare obblighi contrastanti tra l’Unione europea e gli Stati Uniti d’America.
I principali prestatori di servizi in possesso di prove pertinenti per le indagini penali operano sotto la giurisdizione degli Stati Uniti. Lo Stored Communications Act del 1986 vieta la divulgazione di dati relativi ai contenuti, mentre i dati non relativi ai contenuti possono essere forniti su base volontaria. Negli Stati Uniti il CLOUD Act (Clarifying Lawful Overseas Use of Data), adottato dal Congresso degli Stati Uniti il 23 marzo 2018 chiarisce mediante un emendamento allo Stored Communications Act del 1986 che i prestatori di servizi statunitensi hanno l'obbligo di rispettare le disposizioni degli Stati Uniti d'America relativi al divulgamento dei dati relativi o non relativi al contenuto, a prescindere dal luogo di conservazione dei dati, ivi compresa l’Unione europea. Il CLOUD Act consente altresì la
9 Mentre i negoziati con il Parlamento europeo e il Consiglio sono in corso, il 7 dicembre 2018 il Consiglio ha approvato un orientamento generale sulla proposta di regolamento della Commissione al Consiglio «Giustizia e affari interni».
10 Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica (CETS N° 185), 23 novembre 2001, xxxx://xxxxxxxxxxx.xxx.xxx
conclusione di accordi esecutivi con i governi stranieri, sulla cui base i prestatori di servizi degli Stati Uniti d'America sono in grado di fornire dati relativi al contenuto direttamente a tali governi stranieri. L'ambito dei dati oggetto del CLOUD Act riguarda i dati, le intercettazione telefoniche e le comunicazioni elettroniche registrati, mentre le infrazioni interessate sono i «reati gravi». Gli accordi esecutivi con governi stranieri sono soggetti a determinate condizioni, tra cui quella che il paese straniero disponga di sufficienti tutele, anche per limitare l’accesso ai dati relativi a cittadini statunitensi.
L’obiettivo della presente iniziativa è affrontare, attraverso norme comuni, la questione giuridica specifica per l’accesso ai dati relativi al contenuto e a quelli non relativi al contenuto detenuti dai prestatori di servizi nell’Unione europea o negli Stati Uniti. Nel quadro di un accordo internazionale, l'iniziativa integrerebbe le proposte dell’UE riguardanti le prove elettroniche affrontando i conflitti di legge e rendendo più rapido l’accesso alle prove elettroniche. La presente raccomandazione comprende direttive per l’avvio di negoziati su un accordo tra l’UE e gli Stati Uniti d’America in materia di accesso transfrontaliero alle prove elettroniche. L’Unione europea è interessata a raggiungere un accordo globale con gli Stati Uniti sia nella prospettiva della protezione dei diritti e dei valori europei, quali la privacy e la protezione dei dati personali, sia per quanto riguarda i nostri interessi in materia di sicurezza.
In termini di dati relativi al contenuto, come illustrato in precedenza, la legge statunitense (Stored Communications Act del 1986), nella sua forma attuale, vieta ai prestatori di servizi statunitensi di rispondere alle richieste delle autorità di contrasto estere. Attualmente il diritto statunitense impone che la causa probabile sia dimostrata prima che possa essere dato seguito a una richiesta di mutua assistenza giudiziaria proveniente da un paese terzo. Al momento attuale i prestatori di servizi degli Stati membri dell’UE non possono rispondere a richieste presentate direttamente da autorità di paesi terzi. Un accordo tra l’UE e gli Stati Uniti integrerebbe l’obiettivo e l’efficacia delle proposte in materia di prove elettroniche, in particolare per i dati relativi al contenuto detenuti negli Stati Uniti da prestatori di servizi statunitensi. L'accordo consentirebbe una cooperazione diretta con un prestatore di servizi mediante la creazione di un quadro giuridico più efficace per le autorità giudiziarie poiché al momento attuale gli operatori giudiziari dell’UE incontrano difficoltà per ottenere i dati relativi al contenuto attraverso richieste di assistenza giudiziaria.
Per quanto riguarda i dati non relativi al contenuto, a causa del crescente numero di richieste di mutua assistenza giudiziaria trasmesse agli Stati Uniti, le autorità statunitensi hanno incoraggiato le autorità giudiziarie e di contrasto dell'UE a richiedere i dati non relativi al contenuto direttamente ai prestatori di servizi statunitensi, e la legislazione statunitense consente, ma non impone, ai prestatori di servizi con sede negli Stati Uniti di rispondere a tali richieste. Un accordo UE-USA offrirebbe una maggiore certezza del diritto e ridurrebbe la frammentazione cui le autorità dell’UE sono confrontate quando vogliono accedere ai dati non relativi al contenuto detenuti da prestatori di servizi statunitensi. Consentirebbe inoltre alle autorità statunitensi di accedere ai dati detenuti dai prestatori di servizi dell’UE.
La raccomandazione di decisione del Consiglio caldeggia l'avvio di negoziati tra l’Unione europea e gli Stati Uniti d’America, in modo che possa essere raggiunto un accordo transatlantico sull'accesso transfrontaliero alle prove elettroniche da utilizzare nell'ambito di un procedimento penale direttamente dai prestatori di servizi. Essa mira ad adattare i meccanismi di cooperazione all’era digitale, fornendo alle autorità giudiziarie e di contrasto gli strumenti per stare al passo con le attuali modalità di comunicazione dei criminali e combattere le forme moderne di criminalità.
Un accordo tra l’Unione europea e gli Stati Uniti avrebbe una serie di vantaggi pratici:
• fornirebbe alle autorità giudiziarie l’accesso reciproco ai dati relativi al contenuto;
• affronterebbe la questione dell’accesso ai dati non relativi al contenuto sulla base di ordini emessi dalle autorità giudiziarie, in particolare per quanto riguarda l’accesso reciproco da parte delle autorità statunitensi, e rivedrebbe le condizioni e le garanzie per una cooperazione diretta con i prestatori di servizi;
• contribuirebbe a migliorare l’accesso tempestivo delle autorità giudiziarie ai dati;
• consentirebbe di far fronte al rischio di conflitti di leggi;
• ridurrebbe il rischio di frammentazione di norme e procedure e armonizzerebbe i diritti e le garanzie tramite un unico mandato di negoziato per tutti gli Stati membri dell’UE con gli Stati Uniti, assicurando la non discriminazione tra gli Stati membri dell'Unione europea e i loro rispettivi cittadini;
• chiarirebbe la natura vincolante e di esecuzione degli ordini per i prestatori di servizi, precisando al contempo gli obblighi per le autorità giudiziarie.
L'accordo è subordinato a forti meccanismi di tutela dei diritti fondamentali. Le due direttive di negoziato mirano a migliorare la certezza del diritto per le autorità, i prestatori di servizi e le persone interessate, assicurando la proporzionalità, la protezione dei diritti fondamentali, la trasparenza e assunzione di responsabilità da parte sia delle autorità giudiziarie sia dei prestatori di servizi.
3. DISPOSIZIONI RILEVANTI DEL SETTORE
L'attuale quadro giuridico dell’UE si compone degli strumenti di cooperazione dell'Unione in materia penale, quali la direttiva 2014/41/UE relativa all’ordine europeo di indagine penale11 (direttiva OEI), la convenzione relativa all'assistenza giudiziaria in materia penale tra gli Stati membri dell'Unione europea12, il regolamento 2018/1727 su Eurojust13, il regolamento (UE) 2016/794 su Europol14, la decisione quadro 2002/465/GAI del Consiglio relativa alle squadre investigative comuni15 e la proposta di regolamento sulla prevenzione della diffusione di contenuti terroristici online16.
Il 17 aprile 2018 la Commissione ha proposto al Consiglio e al Parlamento europeo un regolamento relativo agli ordini europei di produzione e di conservazione di prove
11 Direttiva 2014/41/UE del Parlamento europeo e del Consiglio, del 3 aprile 2014, relativa all’ordine europeo di indagine penale (GU L 130 dell’1.5.2014, pag. 1).
12 Atto del Consiglio del 29 maggio 2000 che stabilisce, conformemente all’articolo 34 del trattato sull’Unione europea, la convenzione relativa all’assistenza giudiziaria in materia penale tra gli Stati membri dell’Unione europea.
13 Regolamento (UE) 2018/1727 del Parlamento europeo e del Consiglio, del 14 novembre 2018, sull'Agenzia dell'Unione europea per la cooperazione giudiziaria penale (Eurojust) e che sostituisce e abroga la decisione 2002/187/GAI del Consiglio.
14 Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell’11 maggio 2016, che istituisce l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI.
15 Decisione quadro 2002/465/GAI del Consiglio, del 13 giugno 2002, relativa alle squadre investigative comuni.
16 Proposta di regolamento relativo alla prevenzione della diffusione di contenuti terroristici online, 12 settembre 2018, COM(2018) 640 final
elettroniche in materia penale17 e una direttiva recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell'acquisizione di prove nei procedimenti penali18. Sul piano esterno, l’Unione europea ha concluso una serie di accordi bilaterali tra l’Unione e paesi terzi, come l’accordo sulla mutua assistenza giudiziaria (Agreement on Mutual Legal Assistance) tra l’UE e gli Stati Uniti d'America19. Il presente accordo è inteso come complemento a tali disposizioni.
I dati personali rientranti nell’ambito di applicazione della presente raccomandazione di decisione del Consiglio sono protetti e possono essere trattati solo in conformità con il regolamento generale sulla protezione dei dati20 e, per le autorità all'interno dell'Unione europea, la direttiva sulla protezione dei dati nelle attività di polizia e giustizia21. L’accordo dovrebbe integrare l’accordo UE-USA sulla protezione dei dati e sulla privacy, altrimenti noto come «l’accordo quadro», che è entrato in vigore il 1º febbraio 2017 e il Judicial Redress Act degli Stati Uniti (JRA), estendendo ai cittadini europei i benefici del Privacy Act degli Stati Uniti che è stato adottato dal Congresso degli Stati Uniti il 24 febbraio 2016.
I dati relativi alle comunicazioni elettroniche rientranti nell’ambito di applicazione della presente raccomandazione di decisione del Consiglio sono protetti e possono essere trattati solo in conformità con la direttiva 2002/58/CE (la direttiva sulla privacy)22.
L’accordo dovrà rispettare i diritti fondamentali, le libertà e i principi generali del diritto dell’UE, come sanciti dai trattati dell’Unione europea e dalla Carta dei diritti fondamentali, i diritti procedurali tra cui il diritto a un ricorso effettivo e a un giudice imparziale, la presunzione di innocenza e i diritti della difesa, i principi della legalità e della proporzionalità dei reati e delle pene e qualsiasi obbligo che incombe alle autorità giudiziarie o di contrasto a tal fine. Per quanto riguarda le necessarie garanzie in materia di protezione dei dati per i dati
17 Proposta di regolamento del Parlamento europeo e del Consiglio relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale, del 17 aprile 2018, COM(2018) 225 final.
18 Proposta di direttiva del Parlamento europeo e del Consiglio recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove nei procedimenti penali, del 17 aprile 2018, COM(2018) 226 final.
19 Decisione 2009/820/PESC del Consiglio, del 23 ottobre 2009, relativa alla conclusione, a nome dell’Unione europea, dell’accordo sull’estradizione tra l’Unione europea e gli Stati Uniti d’America e dell’accordo sulla mutua assistenza giudiziaria tra l’Unione europea e gli Stati Uniti d’America.
20 Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
21 Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.
22 Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37), modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.
personali trasferiti dall’Unione europea agli Stati Uniti, le disposizioni applicabili dell’accordo UE-USA in materia di protezione dei dati e della vita privata saranno integrate da garanzie aggiuntive per tener conto del livello di sensibilità delle categorie di dati interessate e delle esigenze specifiche del trasferimento di prove elettroniche direttamente dai prestatori di servizi.
L’accordo non dovrà inoltre pregiudicare le altre convenzioni internazionali esistenti relative alla cooperazione giudiziaria in materia penale tra autorità, come l’accordo sulla mutua assistenza giudiziaria UE-USA. L'accordo dovrebbe inoltre, nelle relazioni bilaterali tra gli Stati Uniti d'America e l'Unione europea, prevalere su altri accordi o intese concordati in sede di negoziato del secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica.
Il Consiglio autorizza l’avvio dei negoziati, adotta le direttive di negoziato e autorizza la firma e la conclusione dell’accordo di cui all’articolo 218, paragrafi 3 e 4, del trattato sul funzionamento dell’Unione europea.
Diritti fondamentali
L'accordo potrebbe potenzialmente incidere su una serie di diritti fondamentali:
• i diritti delle persone fisiche ai cui dati è previsto l’accesso: compreso il diritto alla protezione dei dati personali; il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni; il diritto alla libertà di espressione e di riunione; il diritto a un ricorso effettivo e a un giudice imparziale, la presunzione di innocenza e i diritti della difesa, i principi della legalità e della proporzionalità dei reati e delle pene;
• i diritti del prestatore di servizi: il diritto alla libertà d'impresa; il diritto a un ricorso effettivo;
• il diritto alla libertà e alla sicurezza delle persone.
Tenendo conto dell'acquis pertinente in materia di privacy e protezione dei dati, dovrebbero essere incluse nell’accordo garanzie sufficienti e importanti al fine di assicurare che i diritti dei soggetti interessati siano tutelati in linea con i principi generali del diritto dell’Unione e della pertinente giurisprudenza della Corte di giustizia dell’Unione europea.
L'accordo UE-USA dovrebbe essere compatibile con le proposte della Commissione in materia di prove elettroniche, così come evolveranno nel corso della procedura legislativa nonché con la versione definitiva adottata delle proposte.
Le definizioni dei procedimenti penali per i quali tali dati possono essere ottenuti, i tipi dei dati interessati, gli obblighi relativi all'emissione di un ordine, i mezzi di ricorso giuridico e le garanzie e la portata dei reati in questione costituiranno una parte importante dei negoziati al fine di evitare possibili conflitti di legge e migliorare l’accesso ai dati da parte delle autorità. Le definizioni e l'ambito di applicazione dovrebbero essere compatibili con quelli delle norme interne dell'UE in materia di prove elettroniche e con l'evolversi delle stesse.
La Commissione ritiene che la conclusione di un accordo globale sia nell’interesse tanto dell'Unione europea quanto degli Stati Uniti, poiché tale accordo fornirebbe maggiore chiarezza giuridica per le autorità giudiziarie e di contrasto di entrambe le Parti ed eviterebbe conflitti tra obblighi giuridici per i prestatori di servizi. Un accordo globale è inoltre l’unico
modo per evitare l'esistenza di norme diverse per cittadini dell’UE e i prestatori di servizi in base alla loro cittadinanza.
L'accordo chiarirebbe la natura vincolante e di esecuzione degli ordini per i prestatori di servizi, definendo al contempo gli obblighi per le autorità giudiziarie.
Ai punti da 1 a 3 delle direttive di negoziato, la Commissione propone i tre obiettivi principali dell’accordo, vale a dire, in primo luogo, la definizione di norme comuni e la risoluzione dei conflitti di legge per gli ordini concernenti i dati relativi al contenuto e quelli non relativi al contenuto, emessi da un’autorità giudiziaria di una Parte contraente e rivolti a un prestatore di servizi soggetto alla legislazione di un’altra Parte contraente; in secondo luogo, sulla base di tale ordine, consentire il trasferimento di prove elettroniche direttamente su una base di reciprocità da un prestatore di servizi a un’autorità richiedente e, in terzo luogo, garantire il rispetto dei diritti e delle libertà fondamentali e dei principi generali del diritto dell’UE, come sanciti dai trattati dell’Unione europea e dalla Carta dei diritti fondamentali dell’Unione europea.
Al punto 4 delle direttive di negoziato, la Commissione propone che l’accordo si applichi ai procedimenti penali nelle fasi sia istruttoria che processuale. È opportuno che ciò sia compatibile con l’articolo 3 della proposta di regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali. Durante le fasi preprocessuale e processuale tutte le tutele giuridiche per le persone interessate sono applicabili, in particolare, le garanzie procedurali di diritto penale.
Al punto 5 delle direttive di negoziato, la Commissione propone che l’accordo debba creare diritti e obblighi reciproci per le Parti dell’accordo.
Al punto 6 delle direttive di negoziato, la Commissione propone che l’accordo stabilisca le definizioni e i tipi di dati interessati, compresi i dati relativi al contenuto e i dati non relativi al contenuto. I dati relativi al contenuto riguardano il contenuto degli scambi elettronici e sono considerati la categoria più intrusiva di prove elettroniche. I dati non relativi al contenuto riguardano sia i dati relativi agli abbonati, che è il tipo di dati richiesti più frequentemente ai fini di indagini penali, sia i dati relativi al traffico, che includono le informazioni sull’identità dei mittenti e dei destinatari dei messaggi elettronici nonché i metadati, compresi i tempi, la frequenza e la durata degli scambi.
Al punto 7 delle direttive di negoziato, la Commissione propone che l’accordo definisca l’esatto ambito di applicazione per quanto riguarda i reati interessati e le soglie relative ai livelli delle sanzioni. È opportuno che ciò sia compatibile con l’articolo 5, paragrafo 4, della proposta di regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali. L’autorità di emissione dovrebbe essere tenuta ad assicurarsi che nei singoli casi la misura sia necessaria e proporzionata, anche in considerazione della gravità del reato oggetto dell’indagine. L’accordo dovrebbe includere soglie adeguate relative ai livelli delle sanzioni per i dati relativi al contenuto e quelli non relativi al contenuto. Dovrebbe essere compatibile con una soglia di tre anni che circoscrive l’ambito di applicazione dello strumento ai reati più gravi senza limitare eccessivamente la possibilità di uso dello strumento da parte degli operatori del settore.
La Commissione propone al punto 8 delle direttive di negoziato che l’accordo stabilisca quali sono le condizioni da soddisfare prima che un’autorità giudiziaria possa emettere un ordine e i modi in cui tali condizioni possono essere soddisfatte. È opportuno che ciò sia compatibile
con l’articolo 5 sulle condizioni per l'emissione di ordini europei della proposta di regolamento relativo agli ordini di produzione e di conservazione di prove elettroniche nei procedimenti penali.
Al punto 9 delle direttive di negoziato, la Commissione propone che l’accordo includa una clausola che garantisca mezzi di ricorso giurisdizionali efficaci per gli indagati e gli imputati nei procedimenti penali. L’accordo dovrebbe inoltre definire in quali circostanze un prestatore di servizi ha il diritto di opporsi a un ordine. Per le persone interessate, la base di queste disposizioni sono l’articolo 17 della proposta di regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale, che garantisce che le persone interessate da un ordine europeo di produzione dispongano di mezzi di ricorso efficaci in conformità del diritto nazionale, di norma durante il procedimento penale. I mezzi di ricorso degli interessati sono inoltre definiti dalla direttiva (UE) 2016/680 e dal regolamento (UE) 2016/679. Essendo una misura vincolante, l’ordine può incidere anche sui diritti dei prestatori di servizi, in particolare sulla libertà d’impresa e le relative condizioni. La Commissione propone che l'accordo comprenda il diritto del prestatore di servizi di sollevare obiezioni nello Stato membro di emissione, ad esempio se l’ordine non è stato emesso o convalidato da un’autorità giudiziaria.
Al punto 10 delle direttive di negoziato, la Commissione propone che l’accordo definisca il periodo entro il quale i dati richiesti nell'ordine devono essere forniti. È opportuno che tale periodo sia compatibile all’articolo 9 della proposta di regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali che impone l'obbligo di rispondere entro un termine normale di 10 giorni, anche se le autorità possono stabilire un termine più breve, ove giustificato.
Al punto 11 delle direttive di negoziato la Commissione propone che l’accordo non debba inoltre pregiudicare le altre convenzioni internazionali esistenti relative alla cooperazione giudiziaria in materia penale tra le autorità, come l’accordo sulla mutua assistenza giudiziaria UE-USA.
Al punto 12 delle direttive di negoziato la Commissione propone che, per le relazioni bilaterali tra gli Stati Uniti d'America e l'Unione europea, l'accordo prevalga su altri accordi o intese concordati in sede di negoziato del secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica, laddove le disposizioni di quest’ultima convenzione o intesa riguardino questioni disciplinate dal presente accordo.
Al punto 13 delle direttive di negoziato la Commissione propone che l’accordo sia reciproco per quanto riguarda le categorie di persone i cui dati non possono essere richiesti a norma dell'accordo. L’accordo non deve operare discriminazioni tra cittadini di diversi Stati membri dell’Unione europea. La Commissione ritiene che tale accordo, applicabile a livello europeo, rappresenti una garanzia per il rispetto di tale requisito.
I punti da 14 a 16 delle direttive riguardano le garanzie in materia di protezione dei dati necessarie per questo accordo specifico. Il punto 14 delle direttive di negoziato dispone che l’accordo renda applicabile, mediante riferimento, l’accordo UE-USA sulla protezione dei dati e sulla privacy, altrimenti noto come «accordo quadro». Al punto 15 la Commissione dispone che l’accordo completi l’accordo quadro con garanzie supplementari che tengano conto del livello di sensibilità delle categorie di dati in questione e delle esigenze specifiche del trasferimento di prove elettroniche direttamente dai prestatori di servizi piuttosto che tra le autorità. Il punto 16 stabilisce le garanzie supplementari che la Commissione propone, come
richiesto per questo accordo, compresa la specificazione delle finalità, la limitazione delle finalità, la notifica e il trasferimento successivo.
Il punto 17 delle direttive di negoziato riguarda i diritti procedurali aggiuntivi che la Commissione propone come obbligatori per tener conto delle esigenze specifiche del trasferimento di prove elettroniche direttamente dai prestatori di servizi piuttosto che tra le autorità. Questi diritti prevedono, tra l'altro, la possibilità che non sia consentito richiedere i dati per usarli un procedimento penale che potrebbe comportare l'applicazione della pena capitale, la proporzionalità degli ordini nonché garanzie specifiche per i dati protetti da privilegi e immunità. Le immunità e i privilegi di talune professioni, come quella di avvocato, nonché gli interessi fondamentali connessi alla sicurezza o alla difesa nazionali nello Stato del destinatario devono parimenti essere presi in considerazione nel corso del processo nello Stato di emissione. Il riesame da parte di un’autorità giudiziaria costituisce un’ulteriore garanzia.
Nelle disposizioni di governance di cui ai punti da 18 a 23 delle direttive di negoziato la Commissione propone che l’accordo preveda verifiche congiunte periodiche sulla sua applicazione e una clausola sulla sua durata. Propone inoltre che l’accordo preveda che le Parti si consultino per agevolare la risoluzione di qualsiasi controversia relativa all’interpretazione o all’applicazione dell’accordo. È opportuno raccogliere dati statistici da entrambe le Parti per facilitare il processo di revisione. Le direttive di negoziato propongono inoltre che il futuro accordo preveda una clausola di sospensione e di risoluzione nel caso in cui la procedura di consultazione non sia in grado di risolvere eventuali controversie.
Raccomandazione di
DECISIONE DEL CONSIGLIO
che autorizza l’avvio di negoziati in vista di un accordo tra l’Unione europea e gli Stati Uniti d’America sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale
IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 218, paragrafi 3 e 4,
vista la raccomandazione della Commissione europea,
1. Il 17 aprile 2018 la Commissione ha presentato proposte legislative concernenti rispettivamente un regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale e una direttiva recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell'acquisizione di prove nei procedimenti penali (le "proposte riguardanti le prove elettroniche")23. Nella sessione del Consiglio "Giustizia e affari interni" del 7 dicembre 2018, il Consiglio ha approvato un orientamento generale sulla proposta della Commissione relativa a un regolamento della Commissione24.
2. È opportuno avviare negoziati in vista della conclusione di un accordo tra l’Unione e gli Stati Uniti d’America sull'accesso transfrontaliero da parte delle autorità giudiziarie nell’ambito di un procedimento penale alle prove elettroniche detenute da un prestatore di servizi.
3. Occorre che l'accordo comprenda garanzie sui diritti e sulle libertà fondamentali e osservi i principi riconosciuti dalla Carta dei diritti fondamentali dell'Unione europea, in particolare il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni, di cui all'articolo 7 della Carta, il diritto alla protezione dei dati di carattere personale, di cui all'articolo 8 della Carta, il diritto a un ricorso effettivo e un giudice imparziale, di cui all'articolo 47 della Carta, la presunzione di innocenza e i diritti della difesa ,di cui all'articolo 48 della Carta e i principi della legalità e della proporzionalità, di cui all'articolo 49 della Carta. È opportuno che l’accordo sia applicato in conformità di tali diritti e principi.
23 Proposta di regolamento del Parlamento europeo e del Consiglio relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale, del 17 aprile 2018, COM(2018) 225 final. Proposta di direttiva del Parlamento europeo e del Consiglio recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove nei procedimenti penali, del 17 aprile 2018, COM(2018) 226 final.
24 Regolamento del Parlamento europeo e del Consiglio relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale - Orientamento generale del Consiglio, ST 15292 2018 INIT, del 12 dicembre 2018.
4. Il garante europeo della protezione dei dati è stato consultato a norma dell’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio25 e ha espresso un parere il [...]26,
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
La Commissione è autorizzata a negoziare, a nome dell’Unione, un accordo tra l’Unione e gli Stati Uniti d’America sull'accesso transfrontaliero, da parte delle autorità giudiziarie nell’ambito di un procedimento penale, alle prove elettroniche detenute da un prestatore di servizi.
Articolo 2
Le direttive di negoziato figurano nell'allegato.
Articolo 3
I negoziati sono condotti in consultazione con un comitato speciale che sarà designato dal Consiglio.
Articolo 4
La Commissione è destinataria della presente decisione. Fatto a Bruxelles, il
Per il Consiglio Il presidente
25 Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L295 del 21.11.2018, pag. 39).
26 GU C […] del […], pag. […].